安全信息评估范文
时间:2023-10-11 17:25:35
导语:如何才能写好一篇安全信息评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
【关键词】信息系统 安全风险评估 定性 定量
随着社会经济快速发展,信息传递无论是速度还是容量均不断创造新的高度。信息传递方式与人们的生活、工作、学习息息相关。信息产业发展蒸蒸日上,建立在信息技术基础上的信息系统存在一定风险,易受到黑客攻击,且信息系统充斥各种病毒,系统运行过程存在一定风险。基于此必须做好信息系统安全建设,进行安全风险评估,奠定安全基础。
1 风险评估概述
互联网快速发展极大提高人们的生活、工作、学习效率,与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取,信息传递过程中仍旧可能出现信息被第三方截取情况,信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式,但也带来一系列安全隐患。
从信息安全角度而言,风险评估就是对信息系统自身存在的的种种弱点进行分析,判断可能存在的威胁、可能造成的影响等。综合风险可能性,便于更好展开风险管理。风险评估是研究信息安全的重要途径之一,属于组织信息安全管理体系策划过程。
风险评估主要内容包括:识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂,因此信息系统安全风险评估是一项综合性工作,其组织架构较为繁杂,主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。
20世纪八十年代,以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚,至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视,为其快速发展奠定坚实基础。
网络环境虽然带来无穷便利,却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起,人们生活在同一信息系统下总是希望自身隐私得到保护,因此在建设信息系统是必须做好信息安全风险评估,规避信息系统存在的各种风险,提高信息系统安全性,让人们生活在安全信息环境中。
2 信息安全风险评估方法
网络的出现对人们的生活和思维方式带来极大变革,信息交流更加方便,资源共享程度无限扩大,但是网络是一个较为开放的系统,对进入网络系统的人并未有一定约束,因此必然导致安全隐患的出现。随着信息系统建设不断深入,信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性,降低安全隐患,让人们在安全的信息环境下生活和工作。
2.1 定性评估方法
定性评估是信息安全风险评估使用最频繁的方法,此法基于评估者通过特有评估方法,总结经验、历史等无法量化 因素对系统风险进行综合评估,从而得出评估结果。该中方法更注重安全风险可能导致的后果,忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理,因此其评估结果本身就存在一定不确定性,此种评估方法适用于各项数据收集不充分情况。
定性评估虽然在概率上无法保障,但可挖掘出一些较为深刻的思想,其结论主观性较强,可预判断一些主观性结论。基于此需要评估人员具较高职业素养,不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。
德尔菲法是定性评估中较为常见评估方法之一,经过多轮征询,将专家的意见进行归结,总结专家预测趋势,从而做出评估,预测未来市场发展趋势,得出预测结论。从本质上来说,德尔菲法是一种匿名预测函询法,其流程为:征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素,促进预测符合实际。
2.2 定量评估方法
定量评估与定性评估是相互对立的,此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据,且需保证数据准确性,之后利用数学方法建立模型,验证各种过程从而得出结论。定量评估需要准备充足资料,是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足,更具备客观性。定量评估可将复杂评估过程量化,但该种方法需要建立在准确数据基础上。定量评估方法主观性不足,其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。
故障树评估法采用逻辑思维进行风险评估,其特点是直观明了,思路清晰。是一种演绎逻辑推理方法,其推理过程由果及因,即在推理中由结果推到原因,主要运用于风险预测阶段,得出风险发生具体概率,并以此为基础得出风险控制方法。
2.3 定性评估与定量评结合综合评价方法
由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强,客观性不足。定量评估主观性不足,客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本,建立在评估者资质基础上。定量评估运用数学方法展开工作,预测结果较为准确,逻辑性较强,但成本较高。从本质上来看,定性为定量的依据,定量是对定性的具体化,因此只有将二者结合起来才能实现最佳评估效果。
3 信息安全风险评估过程
信息安全风险评估建立在一定评估标准基础上,评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持,在此基础上展开全面风险评估,结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性,这就要求评估过程中需建立正确评估方法,克服评估过程存在的不足,从而取得最佳结果。
4 结束语
当今信息系统不断发展完善,为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法,实际评估中应该结合实际情况选择合适方法,提高信息安全风险评估结果准确性,为建立安全信息环境奠定坚实基础。
参考文献
[1]应力.信息安全风险评估标准与方法综述[J].上海标准化,2014(05):34-39.
[2]张玉清.信息安全风险评估综述[J].通信学报,2015(02):45-53.
[3]温大顺.信息安全风险评估综述[J].网络安全技术与应用,2013(01):16-25.
篇2
我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/T18336、GB17859等。在信息系统的安全管理方面,我国目前在BS7799和ISO17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。
2高校信息安全风险评估模型
2.1信息安全风险评估流程
[2]在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面:建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。学院信息安全风险评估流程图如图1所示:
2.2基于PDCA循环的信息安全风险评估模型
PDCA(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(WalterShewhart)在19世纪30年代构想,随后被戴明(EdwardsDeming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。
3基于PDCA循环模型的信息安全风险评估的实现
[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决。
3.1建立信息安全管理体系环境风险评估(P策划)
风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。
3.2实施并运行信息安全管理体系(D实施)
该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。
3.3监视并评审信息安全管理体系(C检查)
检查阶段是寻求改进机会的阶段,是PDCA循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。
3.4改进信息安全管理体系(A措施)
经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的PDCA循环持续改进信息安全风险评估。
4结语
篇3
[关键词]信息系统;风险评估;基于知识的定性分析;风险管理
中图分类号:F062.5 文献标识码:A 文章编号:1009-914X(2013)06-0100-02
随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用,部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念,并开展了ERP、MES2~PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密,是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。
一、风险评估在信息安全管理体系中的作用
信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是ISMS(Information Security Management System,信息安全管理体系)中的一部分。风险管理是一个建立在计划(Plan)、实施(D0)、检查(Check)、改进(Action)的过程中持续改进和完善的过程。风险评估是对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。
二、信息系统安全风险评估常用方法
风险评估过程中有多种方法,包括基于知识(Knowledge based)的分析方法、基于模型(Model based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各种方法的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
1、基于知识的分析方法
在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握,另外评估信息的采集也极其重要,可采用一些辅的自动化工具,包括扫描工具和入侵检测系统等,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的报告。
2、定量分析方法
定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。
3、定性分析方法
定性分析方法是目前采用较为广泛的一种方法,它具有很强的主观性,需要凭借分析者的经验和直觉,或国家的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样,包括讨论、检查列表、问卷、调查等。
4、几种评估方法的比较
采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,最终达到消减和控制风险的目的。
理论上定量分析能对安全风险进行准确的分级,但前提是可供参考的数据指标是准确的,事实上随着信息系统日益复杂多变,定量分析所依据的数据的可靠性也很难保证,且数据统计缺乏长期性,计算过程又极易出错,给分析带来了很大困难,因此目前采用定量分析或者纯定量分析方法的比较少。
定性分析操作起来相对容易,但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求,定量分析方法也不方便于后期系统改进与提高。
本文结合以上几种分析方法的特点和不足,在确定评估对象的基础上建立了一种基于知识的定性分析方法,并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。
三、全生命周期的信息系统安全风险评估
由于信息系统生命周期的各阶段的安全防范目的不同,同时不同信息系统所依据的国家标准和要求不一样,使风险评估的目的和方法也不相同,因此每个阶段进行的风险评估的作用也不同。
信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下:
第一阶段为规划与设计阶段,本阶段提出信息系统的目的、需求、规模和安全要求,如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。
第二阶段是工程实施阶段,本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否满足要求,并考察系统运行的环境是否是预期设计,有关风险的一系列决策必须在系统运行之前做出。
第三阶段是运行和维护阶段,本阶段的特征是信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境中做出重大变更时,要对其进行风险评估活动,了解各种安全设备实际的安全防范效果是否有满足安全目标的要求;了解安全防范策略是否切合实际,是否被全面执行;当信息系统因某种原因做出硬件或软件调整后,分析原本的安全措施是否依然有效。
第四阶段是系统报废阶段,可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备,确实已经不能被任何方式所恢复。当要报废或者替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的报废处置,且残留信息也恰当地进行了处理,并且要确保信息系统的更新换代能以一个安全和系统化的方式完成。对于是信息系统的报废处理时,应按照国家相关保密要求进行处理和报废。
四、基于评估对象,知识定性分析的风险评估方法
1、评估方法的总体描述
在信息系统的生命周期中存在四个不同阶段的风险评估过程,其中运行和维护阶段的信息系统风险评估是持续时间最长、评估次数最多的阶段,在本阶段进行安全风险评估,首先应确定评估的具体对象,也就是限制评估的具体物理和技术范围。在信息系统当中,评估对象是与信息系统中的软硬件组成部分相对应的。例如,信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备和产品或应用程序、物理安全保障设备、以及维护管理和使用信息系统的人,这些都构成独立的评估对象,在评估的过程中按照对象依次进行检查、分析和评估。通常将整个计算机信息系统分为七个主要的评估对象:(1)信息安全风险评估;(2)业务流程安全风险评估;(3)网络安全风险评估;(4)通信安全风险评估;(5)无线安全风险评估;(6)物理安全风险评估;(7)使用和管理人员的风险评估。
在对每个对象进行评估时,采用基于知识分析的方法,针对互联网采用等级保护的标准进行合理分析,对于军工企业存在大量的信息系统,采用依据国家相关保密标准进行基线分析,同时在分析的过程中结合定性分析的原则,按照“安全两难定律”、“木桶原理”、“2/8法则”进行定性分析,同时在分析的过程中,设置一些“一票否决项”。对不同的评估对象,按照信息存储的重要程度和数量将对象划分为“高”、“中”、“低”三级,集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用,保障系统在关键防护要求上得到落实,提高信息系统的鲁棒性。
2、基于知识的定性分析
军工企业大多数信息系统为信息系统,在信息系统基于知识分析时,重点从以下方面进行分析:物理隔离、边界控制、身份鉴别、信息流向、违规接入、电磁泄漏、动态变更管理、重点人员的管理等。由于重要的信息大多在应用系统中存在,因此针对服务器和用户终端的风险分析时采用2/8法则进行分析,着重保障服务器和应用系统的安全。在风险评估中以信息系统中的应用系统为关注焦点,分析组织内的纵深防御策略和持续改进的能力,判别技术和管理结合的程度和有效性并且风险评估的思想贯穿于应用的整个生命周期,对信息系统进行全面有效的系统评估。在评估过程中根据运行环境和使用人群,判别技术措施和管理措施互补性,及时调整技术和管理措施的合理性。在技术上无法实现的环节,应特别加强分析管理措施的制定和落实是否到位和存在隐患。
3、注重纵深防御和持续改进
篇4
关键词:网络系统;安全测试;安全评估
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)13-3019-04
1 网络安全评估技术简介
当前,随着网络技术和信息技术的发展与应用,人们对于网络的安全性能越来越关注,网络安全技术已从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻、防、测、控、管、评”等多方面的基础理论和实施技术。信息安全是一个综合、交叉学科领域,它要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果,进行自主创新研究、加强顶层设计,提出系统的、完整的解决方案。
网络信息系统安全评估的目的是为了让决策者进行风险处置,即运用综合的策略来解决风险。信息系统可根据安全评估结果来定义安全需求,最终采用适当的安全控制策略来管理安全风险。
安全评估的结果就是对信息保护系统的某种程度上的确信,开展网络安全系统评估技术研究,可以对国防军工制造业数字化网络系统、国家电子政务信息系统、各类信息安全系统等的规划、设计、建设、运行等各阶段进行系统级的测试评估,找出网络系统的薄弱环节,发现并修正系统存在的弱点和漏洞,保证网络系统的安全性,提出安全解决方案。
2 网络安全评估理论体系和标准规范
2.1 网络安全评估所要进行的工作是:
通过对实际网络的半实物仿真,进行测试和安全评估技术的研究,参考国际相关技术标准,建立网络安全评估模型,归纳安全评估指标,研制可操作性强的信息系统安全评测准则,并形成网络信息安全的评估标准体系。
2.2 当前在网络技术上主要的、通用的、主流的信息安全评估标准规范
2.2.1 欧美等西方国家的通用安全标准准则
1) 美国可信计算机安全评价标准(TCSEC)
2) 欧洲网络安全评价标准(ITSEC)
3) 国际网络安全通用准则(CC)
2.2.2 我国制定的网络系统安全评估标准准则
1) 《国家信息技术安全性评估的通用准则》GB/T 18336标准
2) 公安部《信息网络安全等级管理办法》
3) BMZ1-2000《信息系统分级保护技术要求》
4) 《GJB 2646-96军用计算机安全评估准则》
5) 《计算机信息系统安全保护等级划分准则》等
3 安全评估过程模型
目前比较通用的对网络信息系统进行安全评估的流程主要包括信息系统的资产(需保护的目标)识别、威胁识别、脆弱性识别、安全措施分析、安全事件影响分析以及综合风险判定等。
对测评流程基本逻辑模型的构想如图1所示。
在这个测试评估模型中,主要包括6方面的内容:
1) 系统分析:对信息系统的安全需求进行分析;
2) 识别关键资产:根据系统分析的结果识别出系统的重要资产;
3) 识别威胁:识别出系统主要的安全威胁以及威胁的途径和方式;
4) 识别脆弱性:识别出系统在技术上的缺陷、漏洞、薄弱环节等;
5) 分析影响:分析安全事件对系统可能造成的影响;
6) 风险评估:综合关键资产、威胁因素、脆弱性及控制措施,综合事件影响,评估系统面临的风险。
4 网络系统安全态势评估
安全态势评估是进行网络系统级安全评估的重要环节,合理的安全态势评估方法可以有效地评定威胁级别不同的安全事件。对系统安全进行评估通常与攻击给网络带来的损失是相对应的,造成的损失越大,说明攻击越严重、网络安全状况越差。通过攻击的损失可以评估攻击的严重程度,从而评估网络安全状况。
结合网络资产安全价值进行评估的具体算法如下:
设SERG为待评估安全事件关联图:
定义
IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}
其中,SERG表示安全事件关联,SERGStatei表示攻击者获取的直接资源列表;ASV(a)表示对应资产a的资产安全价值;Ta表示可以接受的威胁阀值;HighImpactSet表示高风险事件集合。
常用的对一个网络信息系统进行安全态势评估的算法有如下几种。
4.1 专家评估法(Delphi法)
专家法也称专家征询法(Delphi法),其基本步骤如下:
1) 选择专家:这是很重要的一步,选的好与不好将直接影响到结果的准确性,一般情况下,应有网络安全领域中既有实际工作经验又有较深理论修养的专家10人以上参与评估,专家数目太少时则影响此方法的准确性;
2) 确定出与网络系统安全相关的m个被评估指标,将这些指标以及统一的权数确定规则发给选定的各位专家,由他们各自独立地给出自己所认为的对每一个指标的安全态势评价(Xi)以及每一个评价指标在网络系统整体安全态势评估中所占有的比重权值(Wi);
3) 回收专家们的评估结果并计算各安全态势指标及指标权数的均值和标准差:
计算估计值和平均估计值的偏差
4) 将计算结果及补充材料返还给各位专家,要求所有的专家在新的基础上重新确定各指标安全态势及所占有的安全评价权重;
5) 重复上面两步,直至各指标权数与其均值的离差不超过预先给定的标准为止,也就是各专家的意见基本趋于一致,以此时对该指标的安全评价作为系统最终安全评价,并以此时各指标权数的均值作为该指标的权数。
归纳起来,专家法评估的核心思想就是采用匿名的方式,收集和征询该领域专家们的意见,将其答复作统计分析,再将分析结果反馈给领域专家,同时进一步就同一问题再次征询专家意见,如此反复多轮,使专家们的意见逐渐集中到某个有限的范围内,然后将此结果用中位数和四分位数来表示。对各个征询意见做统计分析和综合归纳时,如果发现专家的评价意见离散度太大,很难取得一致意见时,可以再进行几轮征询,然后再按照上述方法进行统计分析,直至取得较为一致的意见为止。该方法适用于各种评价指标之间相互独立的场合,各指标对综合评价值的贡献彼此没有什么影响。若评价指标之间不互相独立,专家们比较分析的结果必然导致信息的重复,就难以得到符合客观实际的综合评价值。
4.2 基于“熵”的网络系统安全态势评估
网络安全性能评价指标选取后,用一定的方法对其进行量化,即可得到对网络系统的安全性度量,而可把网络系统受攻击前后的安全性差值作为攻击效果的一个测度。考虑到进行网络攻击效果评估时,我们关心的只是网络系统遭受攻击前后安全性能的变化,借鉴信息论中“熵”的概念,可以提出评价网络性能的“网络熵”理论。“网络熵”是对网络安全性能的一种描述,“网络熵”值越小,表明该网络系统的安全性越好。对于网络系统的某一项性能指标来说,其熵值可以定义为:
Hi=-log2Vi
式中:Vi指网络第i项指标的归一化参数。
网络信息系统受到攻击后,其安全功能下降,系统稳定性变差,这些变化必然在某些网络性能指标上有所体现,相应的网络熵值也应该有所变化。因此,可以用攻击前后网络熵值的变化量对攻击效果进行描述。
网络熵的计算应该综合考虑影响网络安全性能的各项指标,其值为各单项指标熵的加权和:
式中:n-影响网络性能的指标个数;
?Ai-第i项指标的权重;
Hi第i项指标的网络熵。
在如何设定各网络单项指标的权重以逼真地反映其对整个网络熵的贡献时,设定的普遍通用的原则是根据网络防护的目的和网络服务的类型确定?Ai的值,在实际应用中,?Ai值可以通过对各项指标建立判断矩阵,采用层次分析法逐层计算得出。一般而言,对网络熵的设定时主要考虑以下三项指标的网络熵:
1) 网络吞吐量:单位时间内网络结点之间成功传送的无差错的数据量;
2) 网络响应时间:网络服务请求和响应该请求之间的时间间隔;
3) 网络延迟抖动:指平均延迟变化的时间量。
设网络攻击发生前,系统各指标的网络熵为H攻击发生后,系统各指标的网络熵为 ,则网络攻击的效果可以表示为:
EH=H'-H
则有:
利用上式,仅需测得攻击前后网络的各项性能指标参数(Vi,Vi'),并设定好各指标的权重(?Ai),即可计算出网络系统性能的损失,评估网络系统受攻击后的结果。EH是对网络攻击效果的定量描述,其值越大,表明网络遭受攻击后安全性能下降的越厉害,也就是说网络安全性能越差。
国际标准中较为通用的根据EH值对网络安全性能进行评估的参考标准值如表1所示。
4.3模糊综合评判法
模糊综合评判法也是常用的一种对网络系统的安全态势进行综合评判的方法,它是根据模糊数学的基本理论,先选定被评估网络系统的各评估指标域,而后利用模糊关系合成原理,通过构造等级模糊子集把反映被评事物的模糊指标进行量化(即确定隶属度),然后利用模糊变换原理对各指标进行综合。
模糊综合评判法一般按以下程序进行:
1) 确定评价对象的因素论域U
U={u1,u2,…,un}
也就是首先确定被评估网络系统的n个网络安全领域的评价指标。
这一步主要是确定评价指标体系,解决从哪些方面和用哪些因素来评价客观对象的问题。
2) 确定评语等级论域V
V={v1,v2,…,vm}
也就是对确定的各个评价指标的等级评定程度,即等级集合,每一个等级可对应一个模糊子集。正是由于这一论域的确定,才使得模糊综合评价得到一个模糊评判向量,被评价对象对评语等级隶属度的信息通过这个模糊向量表示出来,体现出评判的模糊性。
从技术处理的角度来看,评语等级数m通常取3≤m≤7,若m过大会超过人的语义能力,不易判断对象的等级归属;若m过小又可能不符合模糊综合评判的质量要求,故其取值以适中为宜。 取奇数的情况较多,因为这样可以有一个中间等级,便于判断被评事物的等级归属,具体等级可以依据评价内容用适当的语言描述,比如评价数据管理制度,可取V={号,较好,一般,较差,差};评价防黑客入侵设施,可取V={强,中,弱}等。
3) 进行单因素评价,建立模糊关系矩阵R
在构造了等级模糊子集后,就要逐个对各被评价指标ui确定其对各等级模糊子集vi的隶属程度。这样,可得到一个ui与vi间的模糊关系数据矩阵:
R=|r21r22…r2m|
式中:
rij表示U中因素ui对应V中等级vi的隶属关系,即因素ui隶属于vi的等级程度。
4) 确定评判因素的模糊权向量集
一般说来,所确定的网络安全的n个评价指标对于网络整体的安全态势评估作用是不同的,各方面因素的表现在整体中所占的比重是不同的。
因此,定义了一个所谓模糊权向量集A的概念,该要素权向量集就是反映被评价指标的各因素相对于整体评价指标的重要程度。权向量的确定与其他评估方法相同,可采用层次分析等方法获得。权向量集A可表示为:
A=(a1,a2,…,an)
并满足如下关系:
5) 将A与R合成,得到被评估网络系统的模糊综合评判向量B
B=A・R
B=A・R= (a1,a2,…,an) |r21r22…r2m|
式中:
rij表示的是模糊关系数据矩阵R经过与模糊权向量集A矩阵运算后,得到的修正关系向量。
这样做的意义在于使用模糊权向量集A矩阵来对关系隶属矩阵R进行修正,使得到的综合评判向量更为客观准确。
6) 对模糊综合评判结果B的归一化处理
根据上一步的计算,得到了对网络各安全评价指标的评判结果向量集B=(b1,b2,…,bn)
由于对每个评价指标的评判结果都是一个模糊向量,不便于各评价指标间的排序评优,因而还需要进一步的分析处理。
对模糊综合评判结果向量 进行归一化处理:
bj'=bj/n
从而得到各安全评价指标的归一化向量,从而对各归一化向量进行相应。
5 结束语
本论文首先介绍了网络安全评估技术的基本知识,然后对安全评估模型进行了分析计算,阐述了网络安全技术措施的有效性;最后对网络安全态势的评估给出了具体的算法和公式。通过本文的技术研究,基本上对网络信息系统的安全评估技术有了初步的了解,下一步还将对安全评估的风险、安全评估中相关联的各项因素进行研究。
参考文献:
[1] 逮昭义.计算机通信网信息量理论[M].北京:电子工业出版社,1997:57-58.
[2] 张义荣.计算机网络攻击效果评估技术研究[J].国防科技大学学报,2002(5).
篇5
1 信息安全风险评估基本理论
1.1 信息安全风险
信息安全风险具有客观性、多样性、损失性、可变性、不确定性和可测性等多个特点。客观性是因为信息安全风险在信息系统中普遍存在;多样性是指信息系统安全涉及多个方面;损失性是指任何一种信息安全风险,都会对信息系统造成或大或小的损失;可变性是指信息安全风险在系统生命周期的各个阶段动态变化;不确定性是一个安全事件可以有多种风险;可测试性是预测和计算信息安全风险的方法。
1.2 信息安全风险评估
信息安全风险评估,采用科学的方法和技术和脆弱性分析信息系统面临的威胁,利用系统,评估安全事件可能会造成的影响,提出了防御威胁和保护策略,从而防止和解决信息安全风险,或控制在可接受范围内的风险,最大限度地保护系统的信息安全。通过评价过程对信息系统的脆弱性进行评价,面临威胁和漏洞威胁利用的负面影响,并根据信息安全事件的可能性和严重程度,确定信息系统的安全风险。
2 信息安全风险评估原理
2.1 风险评估要素及其关系
一般说来,信息安全风险评估要素有五个,除以上介绍的安全风险外,还有资产、威胁、脆弱性、安全措施等。信息安全风评估工作都是围绕这些基本评估要素展开的。
2.1.1 资产
资产是在系统中有价值的信息或资源,是安全措施的对象。资产价值是资产的财产,也是资产识别的主要内容。它是资产的重要程度或敏感性。
2.1.2 威胁
威胁是导致不期望事件发生的潜在起因,这些不期望事件可能危害系统。
2.1.3 脆弱性
脆弱性是资产存在的弱点,利用这些弱点威胁资产的使用。
2.1.4 安全措施
安全措施是系统实施的各种保护机制,这种机制能有效地保护资产、减少脆弱性、抵御威胁、减少安全事件的发生或降低影响。风险评估围绕上述基本要素。各要素之间存在着这样的关系:
(1)资产是风险评估的对象,资产价值是由资产价值计量的,资产价值越高,证券需求越高,风险越小。
(2)漏洞可能会暴露资产的价值,使其被破坏,资产的脆弱性越大,风险越大;
(3)威胁引发风险事件的发生,威胁越多风险越大;
(4)威胁利用脆弱性来危害资产;
(5)安全措施可以防御威胁,减小安全风险,从而保护资产。
2.2 风险分析模型及算法
在信息安全风险评估标准中,风险分析涉及资产的三个基本要素,威胁和脆弱性。每个元素都有它自己的属性,并由它的属性决定。资产的属性是资产的价值,而财产的威胁可以是主体、客体、频率、动机等。财产的脆弱性是资产脆弱性的严重性。在风险分析模型中,资产的价值、威胁的可能性、脆弱性的严重程度、安全事件的可能性和安全事件造成的损失,两者是整合的,它是风险的价值。
风险分析的主要内容为:
(1)识别资产并分配资产;
(2)确定威胁,并分配潜在的威胁;
(3)确定漏洞,并分配资产的脆弱性的严重程度;
(4)判断安全事件的可能性。根据漏洞的威胁和使用的漏洞来计算安全事件的可能性。
安全事件发生可能性=L(威胁可能性,脆弱性)=L(T,V)
(5)计算安全事件损失。根据脆弱性严重程度和资产价值计算安全事件的损失。
安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va);
(6)确定风险值。根据安全事件发生可能性和安全事件造成的损失,计算安全事件发生对组织的影响。
风险值=R(A,T,V)=R(F(Ia,Va),L(T,V))
其中,A是资产;T是威胁可能性;V是脆弱性;Ia是资产价值;Va是脆弱性的严重程度;L是威胁利用脆弱性发生安全事件的可能性;F是安全事件造成的损失,R是风险计算函数。
3 信息风险分析方法探析
作为保障信息安全的重要措施,信息安全系统是信息安全的重要组成部分,而信息安全风险评估的算法分析方法,风险评估作为风险分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成为正式信息安全标准的一部分。从定性定量的角度可以将风险分析方法分为三类,也就是定性方法、定量方法和定性定量相结合。
3.1 定性的风险分析方法
定性的方法是凭借分析师的经验和知识的国际和国内的标准或做法,风险管理因素的大小或程度的定性分类,以确定风险概率和风险的后果。定性的方法的优点是,信息系统是不容易得到的具体数据的相对值计算,没有太多的计算负担。它有一定的缺陷,是很主观的,要求分析有一定的经验和能力。比较著名的定性分析方法有历史比较法、因素分析方法、逻辑分析法、Delphi法等,这些方法的成败与执行者的经验有很大的关系。
3.2 定量的风险分析方法
定量方法是用数字来描述风险,通过数学和统计的援助,对一些指标进行处理和处理,来量化安全风险的结果。定量方法的优点是评价结果直观,使用数据表示,使分析结果更加客观、科学、严谨、更有说服力。缺点是,计算过程复杂,数据详细,可靠的数据难以获得。正式且严格的评估方法的数据一般是估计而来的,风险分析达到完全的量化也不太可能。与著名的定时模型定量分析方法、聚类分析法、因子分析法、回归模型、决策树等方法相比较,这些方法都是具有数学或统计工具的风险模型。
3.3 定性定量相结合的风险分析方法
是因为有优点和缺点的定量和定量的方法,只使用定性的方法,太主观,但只有使用定量方法,数据是难以获得的,所以目前常用的是定性和定量的风险分析方法相结合。这样,既能克服定性方法主观性太强的缺点,又能解决数据不好获取的困难。典型的定性定量相结合的风险评估工具有@Risk、CORA等。
篇6
【 关键词 】 信息安全;等级保护;风险评估
Information Security Hierarchy Protection and Risk Assessment
Dai Lian-fen
(China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725)
【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.
【 Keywords 】 information security;hierarchy protection;risk assessment
1 风险评估是等级保护建设工作的基础
等级保护测评中的差距分析是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。风险评估作为信息安全工作的一种重要技术手段,其目标是深入、详细地检查信息系统的安全风险状况,比差距分析结果在技术上更加深入。为此,等级保护与风险评估之间存在互为依托、互为补充的关系,等级保护是国家一项信息安全政策,而风险评估则是贯彻这项制度的方法和手段,在实施信息安全等级保护周期和层次中发挥着重要作用。
风险评估贯穿等级保护工作的整个流程,只是在不同阶段评估的内容和结果不一样。《信息系统安全等级保护实施指南》将等级保护基本流程分为三个阶段:定级,规划与设计,实施、等级评估与改进。在第一阶段中,风险评估的对象内容是资产评估,并在此基础上进行定级。在第二阶段中,主要是对信息系统可能面临的威胁和潜在的脆弱性进行评估,根据评估结果,综合平衡安全风险和成本,以及各系统特定安全需求,选择和调整安全措施,确定出关键业务系统、子系统和各类保护对象的安全措施。在第三个阶段中,则涉及评估系统是否满足相应的安全等级保护要求、评估系统的安全状况等,同时根据结果进行相应的改进。
等级保护所要完成的工作本质就是根据信息系统的特点和风险状况,对信息系统安全需求进行分级, 实施不同级别的保护措施。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级, 所以风险评估是等级保护的重要基础与依据。
2 等级保护建设过程中如何有效地结合风险评估
2.1 以风险评估中资产安全属性的重要度来划分信息系统等级
在公安部等四部局联合下发了《信息安全等级保护的实施意见》公通字2004第66号文中,根据信息和信息系统的重要程度,将信息和信息系统划分为了五个等级自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。实际上对信息系统的定级过程,也就是对信息资产的识别及赋值的过程。在国家的《信息系统安全等级保护定级指南》中,提出了对信息系统的定级依据,而这些依据基本的思想是根据信息资产的机密性、完整性和可用性重要程度来确定信息系统的安全等级,这正是风险评估中对信息资产进行识别并赋值的过程:对信息资产的机密性进行识别并赋值;对信息资产的完整性进行识别并赋值;对信息资产的可用性进行识别并赋值。从某种意义上来说,信息系统(不是信息)的安全等级划分,实际上也是对残余风险的接受和认可。
2.2 以风险评估中威胁程度来确定安全等级的要求
在等级保护中,对系统定级完成后,应按照信息系统的相应等级提出安全要求,安全要求实际上体现在信息系统在对抗威胁的能力与系统在被破坏后,恢复的速度与恢复的程度方面。而这些在风险评估中,则是对威胁的识别与赋值活动;脆弱性识别与赋值活动;安全措施的识别与确认活动。对于一个安全事件来说,是威胁利用了脆弱性所导致的,在没有威胁的情况下,信息系统的脆弱性不会自己导致安全事件的发生。所以对威胁的分析与识别是等级保护安全要求的基本前提,不同安全等级的信息系统应该能够对抗不同强度和时间长度的安全威胁。
2.3 以风险评估的结果作为等级保护建设的安全设计的依据
在确定信息系统的安全等级和进行风险评估后,应该根据安全等级的要求和风险评估的结果进行安全方案设计,而在安全方案设计中,首要的依据是风险评估的结果,特别是对威胁的识别,在一些不存在的威胁的情况下,对相应的脆弱性应该不予考虑,只作为残余风险来监控。对于两个等级相同的信息系统,由于所承载业务的不同,其信息的安全属性也可能不同,对于需要机密性保护的信息系统,和对于一个需要完整性保护的信息系统,保护的策略必须是不同,虽然它们可能有相同的安全等级,但是保护的方法则不应该是一样的。所以,安全设计首先应该以风险评估的结果作为依据,而将设计的结果与安全等级保护的要求相比较,对于需要保护的必须符合安全等级要求,而对于不需要保护的则可以暂不考虑安全等级的要求,而对于一些必须高于安全等级要求的,则必须依据风险评估的结果,进行相应高标准的设计。
3 结束语
风险评估为等级保护工作的开展提供基础数据,是等级保护定级、建设的实际出发点,通过安全风险评估,可以发现信息系统可能存在的安全风险,判断信息系统的安全状况与安全等级保护要求之间的差距,从而不断完善等级保护措施。文章对等级保护工作中如何结合信息安全风险评估进行了有益的探索,为有效地支撑计算机信息系统等级保护建设的顺利进行提供了参考。
参考文献
[1] 吴贤.信息安全等级保护和风险评估的关系研究.信息网络安全,2007.
[2] 冯登国,张阳,张玉清.信息安全风险评估综述.通信学报,2004.
篇7
【关键词】智慧城市;安全风险;风险识别;风险评估
1.引言
自IBM于2009提出“智慧地球”理念以来,国内外已经有众多城市以网络为基础,打造数字化、泛在互联的新型智慧型城市。在智慧城市的建设和研究过程中,将新兴的物联网、云计算、超级计算,以及基础通信网络、软件服务化、数据共享、整合、挖掘与分析等技术全面应用。同时也对信息安全带来了全角度的冲击。
建设智慧城市必将面临各种风险,本文主要研究和讨论智慧城市工程信息系统的风险和评估方法。并且为建设智慧城市信息安全提供设计思路。
目前信息安全风险评估的方法主要有层次分析法[1]、神经网络方法[2]和模糊理论[3]等;信息安全要求是通过对安全风险的系统评估予以识别的[4]。风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。
2.建设智慧城市面临的信息安全风险
2.1 智慧城市信息系统的基本结构
智慧城市主要由三部分组成,底层为基础设施平台,主要包括互联网络和感知网络;数据共享平台主要包括基础信息资源库,例如人口信息、地理信息等;应用服务平台是面向公众、企业及政府的综合服务门户平台。
2.2 智慧城市面临的信息安全风险
信息安全风险是认为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响[5]。如表1所示,智慧城市面临的信息安全风险主要有物理破坏、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等风险。智慧城市服务面广、影响广泛,面对大众,其持续服务能力和流畅服务能力直接关系到智慧城市建设的成败。而这两个服务能力又取决于管理者和建设者对以上风险的认知和处理程度。
3.信息安全风险识别
信息安全风险识别的基本依据就是客观世界的因果关联性和可认识性[5]。在建设智慧城市的过程中,信息系统必将面临各种安全风险。明确识别风险,评估风险,并合理的管理风险,是参与智慧城市项目建设中每个人的责任和义务。
风险识别主要有两种方法,一种是从主观信息源出发的识别方法。主要利用头脑风暴法,德尔菲方法(Delphi method)和情景分析法(Scenarios analysis)。前两种方法在我国使用的较多,情景分析法是一种定性预测方法,对预测对象可能出现的情况或引起的后果做出预测的方法,操作过程复杂,目前在我国的具体应用较少。另外一种风险识别的方法是从客观信息源出发的识别方法。主要利用核对表法、流程图法、数据或结果实验法、工作结构分解分析法和财务报表法等。
信息安全风险管理是识别并评估风险、将风险降低至可接受级别、执行适当机制来维护这种级别的过程。没有绝对安全的环境,每种环境都会存在某种程度的脆弱性,都会面临一定的威胁。问题的关键在于识别威胁,估计它们实际发生的可能性以及可能造成的破坏,并采取恰当的措施将系统环境的总体风险降低至组织机构认为可以接受的级别。
4.终端面临安全风险
用户访问智慧城市信息数据的终端虽然不属于智能城市建设的范畴,但面对大量的用户终端,智慧城市工程相关管理和技术人员必须要考虑智慧城市系统对用户终端的影响。
根据CATR 2013年3月4日的研究数据显示,预计2013年中国3G用户将增长1.5-1.8亿户,用户规模突破3亿户。也就是说会有很大量用户通过3G智能终端获取信息。智慧城市的信息数据,也将通过3G移动互联网送至用户的智能手机上。会存在黑客利用智慧城市信息服务平台攻击用户智能终端的情况。
另外一部分用户将使用个人计算机机通过互联网访问智慧城市信息数据。同样黑客也有机会利用智慧城市信息服务平台攻击用户的个人计算机。
最后,由于智能电视、网络机顶盒的出现,还将会有部分用户通过电视机访问智慧城市的信息数据,黑客也有攻击智能电视机网络机顶盒等电视机接入设备。
智慧城市工程的建设,要应对网络犯罪和黑客攻击,维护移动互联网安全,需要将移动网络、后台服务以及个体终端结合起来,从全局角度提出一个完整的综合性解决方案,这就对普通用户、移动运营商、网络安全供应商、手机制造商、第三方软件开发商以及网络信息提供商都提出了更高的要求。同时,还需要政府监管部门完善响应的监管体系,加强相关法律法规的建设。
5.信息安全风险评估
信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及其由处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,并提出有针对性的抵御威胁的防护对策和整改措施。进行信息安全风险评估,就是要防范和化解信息安全风险,或者将风险控制在可接受的水平,从而为最大限度的保障网络和信息安全提供科学依据。[6]
通过风险评估后,就可以针对信息系统中的高危风险进行风险管理。风险评估目前主要有定量风险分析方法和定性风险分析方法。国内外研究人员又在此基础上提出了层次分析法(AHP),故障树分析法和基于模糊数学的分析方法。另外就是基于科研机构颁布的标准或指南的信息安全风险评估方法,比较传统的方法有BS7799标准、CC标准、ISO13335信息和通信技术安全管理指南和NIST相关标准等。这些标准或指南对信息安全风险评估具有很好的指导作用,且大多数是基于定性的风险评估,对评估者的能力要求高,评估具有很大的主观性。
对于智慧城市工程的信息系统,可以采用多种不同的方法对信息系统进行综合风险评估,将不同风险评估方法得出的结果系统分析,实施全方位、多角度的风险管理。只有通过对信息系统的安全风险评估才能对智慧城市工程存在的风险进行合理、科学和有效的管理。
6.结束语
在建设智慧城市工程的过程中,信息安全风险评估以及风险管理势在必行。在规划设计阶段根据实际投资和项目情况,以国家相关标准为基础进行规划设计,并参照《信息系统安全等级保护基本要求》(GB/T22239-2008)对信息系统进行安全保护。正确识别和评估安全风险要始终贯穿到工程项目建设的每一个环节中。在项目建设初期从多角度、全方位识别风险,不留风险盲区;在项目建设过程中,通过风险评估的结论,将风险降低到可以接受的程度;在后期的使用维护过程中,始终使用PDCA方法,不断的去识别、评估和降低安全风险。动态将风险识别和风险评估方法贯彻到智慧城市工程的每一个阶段,确保实现安全可靠的智慧型政府、智慧型民生和智慧型产业。
参考文献
[1]王奕,费洪晓,蒋蘋.FAHP方法在信息安全风险评估中的研究[J].计算机工程与科学,2006,28(9):4-6.
[2]赵冬梅,刘海峰,刘晨光.基于BP神经网络的信息安全风险评估[J].计算机工程与应用,2007,43(1):139-141.
[3]陈光,匡光华.信息安全风险评估的模糊多准则决策方法[J].信息安全域通信保密,2006,7:23-25.
[4]信息安全管理实施指南(ISO17799:2005C).
[5]信息安全风险评估规范(GB/T20984-2007).
篇8
【关键词】 政务信息安全 信息安全评估 指标体系
1 引言
近年来,我国电子政务网络体系和信息系统建设加快推进,建设了大量的政务门户网站、电子公文系统等。随之而来的是政务安全威胁也与日俱增。根据统计,政府网站和信息系统依然是黑客攻击的主要目标之一。大量政府网站被挂马和恶意篡改,重要数据库信息被窃取,这些都严重影响到了政府部门的信息安全和自身公信力。
在政府单位信息安全日常检查工作中,由于缺乏系统、全面、统一的信息安全评估机制和评估标准,导致评估结果可量化程度低,无法直观反映评估结果和存在问题,一定程度上削弱了信息安全检查结果对整改工作的指导价值。因此,探索建立适用于政府单位的一整套信息安全评估指标体系,变信息安全“一事一议”为长效机制,对于增强政务信息安全防护水平,带动信息安全产业发展具有重要意义。
2 政务信息安全评估
信息安全评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及存在的漏洞,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。信息安全评估的重要意义在于,通过对政府部门关心的重要信息资产的评估分级,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定后期处理计划,从而建立一套完整的、健壮的安全风险防御体系,为进一步制定安全风险投资预算计划、安全风险投资回报分析、人员组织计划和建立安全体系、制定安全政策、引入安全控制措施而提供基础数据,辅助最高管理层对政务信息安全管理的计划与实践做出正确决策。
目前,在信息安全领域较为通用的信息安全评估技术标准包括《信息技术安全评价通用准则》(ISO/IEC 15408 CC标准)、《国际信息安全管理标准体系》(BS 7799标准)、《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080-2008 ISO/IEC 27001:2005)、《信息技术 安全技术 信息安全管理 实用规则》(GB/T 22081-2008 ISO/IEC 27002:2005)、《系统安全工程能力成熟度模型》(SSE-CMM)等。
3 政务信息安全评估指标体系
本文结合上述各项信息安全评估技术标准,考虑政务信息安全各项技术要求,结合政务信息系统建设的成本、效益等操作层面问题,给出了一套包含以下七大类一级指标的政务信息安全评估三级指标体系。
(1)“信息安全保障机构”:为确保信息安全日常工作,政府部门应成立信息安全领导机构小组,建立相关制度,明确信息安全主管领导和信息安全专业,按照“谁主管、谁负责”的原则,全面落实工作责任制。
(2)“日常信息安全管理”:应根据组织的信息安全方针,规定岗位信息安全责职责并形成文件,对重要岗位应制定重要岗位安全保密责任书,对信息岗位,员工离岗离职时应按照单位规定,对人员使用的计算机、存储设备、访问密码等进行管理。外部人员访问时,应确保在外部人员访问受控区域前得到授权或审批。对重大的安全责任事件有相应的问责机制。
(3)“系统信息安全管理”:对于政府部门信息安全等级保护,应按照等保的要求进行评测、定级、备案与安全整改。在系统运行维护方面,应明确制定每个系统的运维内容、运维方式、运维职责,对系统的用户权限和管理员权限进行管理。对于系统功能流程的变更需要建立变更审批制度,并进行变更记录。系统应具备日志和备份功能,对系统的日常操作进行安全审计。
(4)“信息安全技术防护”:信息安全技术防护是信息安全保障工作的重要内容,针对目前政府部门整体信息化建设和应用系统使用情况,应该注重的技术防护方面包括:网络安全、终端与介质防护、数据安全、应用安全、门户网站防护、邮件系统防护、机房环境安全等。
(5)“信息安全应急响应”:系统运维应急方案是对中断或严重影响业务的故障,如宕机、数据丢失、业务中断等,进行快速响应和处理,在最短时间内恢复业务系统,将损失降到最低。政府部门应针对各类突发事件,如硬件损坏、操作失误、配置丢失、数据丢失等设计相应的预防与解决措施,同时提供完整的应急预案处理流程,定期进行预案演练。
(6)“信息安全教育培训”:对各级安全负责人员、系统使用人员应定期进行安全教育培训,提升信息安全意识,提高信息安全管理水平。对于专业信息安全人员开展定期考核测评
(7)“信息安全检测评测”:通过信息自查、抽查等方式开展政府部门的信息安全检查工作,各单位应配合检查工作建立检查小组,对检查实施过程进行监督指导。对关键网络环境、硬件服务器、计算机终端、应用系统等开展技术性检测。详细记录检查结果,对安全问题环节进行通报、上报、整改,并追究相关人员责任。
4 指标数据采集方法
在实际工作中可采用以下四种指标数据采集方法:一是问卷调查,即通过问题表的形式,事先将需要了解的问题列举出来,通过让相关人员回答有关问题而获取数据信息。二是实地收集,即通过深入现场,亲自参与系统的运行维护活动,并运用观察、操作等方法直接从信息系统中收集资料和数据。三是利用辅助工具,借助网络和系统检测、扫描、监控工具发现系统某些内在的弱点和可能存在的威胁。四是文档审查,即通过文档和资料的查阅,获取较完整的系统信息和历史经验。
5 结论
在电子政务建设过程中不可避免的涉及到信息安全保障工作,而信息安全评估作为信息安全保障工作的重要环节,制定相应的安全评估标准,能够为信息安全各个职能部门提供检测依据,进而妥善处理政务信息安全中存在的不同层面问题。通过对评估指标、评估模式、评估方法的不断创新完善,安全评估在信息安全体系建设中的支撑引领作用将得到更充分的认识,并成为信息安全工作的重要规划指导依据和评价考核标准。
参考文献:
篇9
关键词:多属性群决策;熵权法;TOPSIS;信息安全;风险评估
一、 引言
从20世纪90年代后期起,我国信息化建设得到飞速发展,金融、电力、能源、交通等各种网络及信息系统成为了国家非常重要的基础设施。随着信息化应用的逐渐深入,越来越多领域的业务实施依赖于网络及相应信息系统的稳定而可靠的运行,因此,有效保障国家重要信息系统的安全,加强信息安全风险管理成为国家政治稳定、社会安定、经济有序运行的全局性问题。
信息安全风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三大类。定性评估方法的优点是使评估的结论更全面、深刻;缺点是主观性很强,对评估者本身的要求高。典型的定性评估方法有:因素分析法、逻辑分析法、历史比较法、德尔斐法等。定量的评估方法是运用相应的数量指标来对风险进行评估。其优点是用直观数据来表述评估结果,非常清晰,缺点是量化过程中容易将本来复杂的事物简单化。典型的定量分析方法有:聚类分析法、时序模型、回归模型等。定性与定量相结合的评估方法就是将定性分析方法和定量分析方法这两种方法有机结合起来,做到彼此之间扬长避短,使评估结果更加客观、公正。
本文针对风险评估主观性强,要素众多,各因素较难量化等特殊性,将多属性群决策方法引入到风险评估当中。多属性决策方法能够较有效解决多属性问题中权重未知的难题,而群决策方法能较好地综合专家、评估方、被评估方以及其他相关人员的评估意见。该方法可解决风险评估中评估要素属性的权重赋值问题,同时群决策理论的引入可提高风险评估的准确性和客观性。本文用熵权法来确定属性权重,用TOPSIS作为评价模型,对风险集进行排序选择,并运用实例来进行验证分析。
二、 相关理论研究
1. 信息安全风险分析原理。信息安全风险评估是指依据信息安全相关的技术和管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性进行评价的过程。它要对组织资产面临的威胁进行评估以及确定威胁利用脆弱性导致安全事件的可能性,并结合相应安全事件所涉及的资产价值来判定当安全事件发生时对组织会造成的影响。文献中提出了一种改进的风险分析流程及原理,该模型对风险分析基本流程的属性进行了细分,如图1所示。
根据上述原理,总结出信息安全风险评估的基本步骤,可以描述如下: (1)首先调查组织的相关业务,分析识别出组织需要保护的重要资产,以及资产本身存在的脆弱性、面临的威胁,形成风险集。(2)组织各领域专家对风险集中各属性进行评估并赋权值,得到每个风险的属性值。(3)通过一定的算法对所有属性进行综合分析,得到最后的结果,进一步推算出组织面临的风险值。
2. 多属性群决策理论。多属性群决策,是指决策主体是群体的多属性决策。多属性决策是利用已有的决策信息,通过一定的方式对一组(这一组是有限个)备择方案进行排序并选择,群决策是多个决策者根据自己的专业水平、知识面、经验和综合能力等对方案的重要性程度进行评价。在多属性群决策过程中,需要事先确定各专家权重和属性权重,再通过不同集结算法计算各方案的综合属性值,从而对方案进行评价或择优。
3. 熵权法原理。香农在1948年将熵的概念应用到信息领域用来表示信源的不确定性,根据熵的思想,人们在决策中获取信息的数量和质量是提高决策精度和可靠性的重要因素。而熵在应用于不同决策过程的评价时是一个很理想的方法。熵权法是确定多属性决策问题中各属性权系数的一种有效方法。它是利用决策矩阵和各指标的输出熵来确定各指标的权系数。
试考虑一个评估问题,它有m个待评估方案,n个评估属性,(简称m,n评估问题)。先将评估对象的实际状况可以得到初始的决策矩阵R′=(′ij)m×n,′ij为第i个对象在第j个指标上的状态,对R′进行标准化处理,得到标准状态矩阵:R=(ij)m×n,用M={1,2,…,m}表示方案的下标集,用 N={1,2,…,n}表示属性的下标集,以下同。其中,当评估属性取值越大越好,即为效益型数据时:
ij=(1)
当评估属性取值越小越好,即为成本型数据时:
ij=(2)
(1)评估属性的熵:
Hj=-kij×lnij j∈N(3)
其中ij=ij/ij k=1/lnm,并假定,当ij=0时,ijlnij=0,Hj越大,事件的不确定性越大,Hj越小,事件的不确定性越小。
(2)评估属性的熵权:在(m,n)评估问题中,第j个评估属性的熵权j定义为:
j=(1-Hj)/(n-Hj),j∈N,显然0j1且j=1
3. TOPSIS方法。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一种逼近理想解的排序方法,适用于多属性决策中方案的排序和优选问题,它的基本原理描述如下:(1)界定理想解和负理想解,(2)以各方案与“理想解”和“负理想解”的欧氏距离作为排序标准,寻找距“理想解”的欧氏距离最小,(3)距“负理想解”的欧氏距离最大的方案作为最优方案。理想解是一个方案集中虚拟的最佳方案,它的每个属性值都是决策矩阵中该属性的最好的值;而负理想解则是虚拟的最差方案,它的每个属性值都是决策矩阵中该属性的最差的值。最优方案是通过需要评估的方案与理想解和负理想解之间的欧氏距离构造的接近度指标来进行判断的。假设决策矩阵R=(ij)m×n已进行过标准化处理。具体步骤如下:
(1)构造加权标准状态矩阵X=(xij),其中:xij=j×ij,i∈M;j∈N,j为第j个属性的权重;xij为标准状态矩阵的元素。
(2)确定理想解x+和负理想解x-。设理想解x+的第j个属性值为x+j,负理想解x-的第j个属性值位x-j,则
x+j={xij|j∈J1)),xij|j∈J2)}
x-j={xij|j∈J1)),xij|j∈J2)}
J1为效益型指标,J2为成本型指标。
(3)计算各方案到理想解的Euclid距离di+与负理想解的距离di-
di+=;di-=;i∈M
(4)计算各方案的接近度C+i,并按照其大小排列方案的优劣次序。其中
C+i=,i∈M
三、 基于TOPSIS的多属性群决策信息安全风险评估模型
1. 方法的采用。本文将基于TOPSIS的多属性群决策方法应用于信息安全风险评估中,有以下几点考虑:
(1)组织成本问题。组织需要对分析出来的风险严重程度进行排序比较,从而利用有限的成本将风险控制到适当范围内。因此,组织可以将被评估方所面临的风险集,看作是决策问题中的方案集,决策目的就是要衡量各风险值的大小及其排序,从中找出最需要控制的风险。
(2)风险评估中的复杂性问题。风险评估的复杂性,适合用多属性群决策方法来解决。如图1所示,信息安全风险评估中涉及多个评估指标,通过评估指标u1,u2,…,u7的取值来计算风险值z。风险值z的计算适用于多属性决策的方法。而由于风险评估的复杂性和主观依赖性决定了风险评估需要综合多人的智慧,因此风险评估的决策者在各方面优势互补,实现群决策的优势。
2. 评估过程。
(1)构造决策矩阵,并将决策矩阵标准化为R=(ij)m×n,由于风险评估属性都是成本型属性,所以用公式(2)标准化。
(2)专家dk权重的确定。为确定专家权重,由风险评估负责人构造专家判断矩阵,假设共有r个专家,Eij表示第i位专家对第j专家的相对重要性,利用Saaty(1980)给出了属性间相对重要性等级表,计算判断矩阵的特征向量,即可得到专家的主观权重:=(1,2,3,…,r)。
(3)指标权重的确定。指标权重由熵权法确定,得到专家dk各指标权重(k)=(1(k),2(k),3(k),…,n(k))。
(4)利用属性权重对决策矩阵R(k)进行加权,得到属性加权规范化决策矩阵X(k)=(xij(k))m×n,其中,xij(k)=ij(k)·j(k),i∈M;j∈N。
(5)利用加权算术平均(WAA)算子将不同决策者的加权规范矩阵X(k)集结合成,得到综合加权规范化矩阵X=(xij)m×n,其中xij=xij(k)k。
(6)在综合加权规范化矩阵X=(xij)m×n中寻找理想解x+=(x1+,x2+,…,xn+) 和负理想解x-=(x1-,x2-,…,xn-), 因为风险评估属性类型为成本型,故x+j=xij,x-j=xij,j∈N。
(7)计算各风险集分别与正理想解的Euclid距离di+和di-。
(8)计算各风险集的接近度C+i,按照C+i的降序排列风险集的大小顺序。
四、 实例分析
1. 假设条件。为了计算上的方便,本文作以下假设:
(1)假设共有两个资产,资产A1,A2。
(2)资产A1面临2个主要威胁T1和T2,资产A2面临1个主要威胁T3。
(3)威胁T1可以利用资产A1存在的1个脆弱性V1,分别形成风险X1(A1,V1,T1);威胁T2可以利用资产A1存在的1个脆弱性V2,形成风险X2(A1,V2,T2);威胁T3可以利用资产A2存在的1个脆弱性V3,形成风险X3(A2,V3,T3)。以上假设条件参照文献“7”。
(4)参与风险评估的人员来自不同领域的专家3名,分别是行业专家d1,评估人员d2和组织管理者d3,系统所面临的风险已知,分别是X1,X2,X3。
2. 信息安全风险评估。
(1)构造决策矩阵。如表1,决策属性为u1,u2,…,u7,决策者d1,d2,d3依据这些指标对三个风险X1,X2,X3进行评估给出的风险值(范围从1~5)。
(2)决策矩阵规范化,由于上述数值属成本型,用公式(2)进行标准化。
(3)专家权重的确定,评估负责人给出3个专家的判断矩阵。
计算出各专家权重=(0.717,0.201,0.082),最大特征值为3.054 2,C.I=0.027,R.I=0.58,C.R=0.0470.1,判断矩阵满足一致性检验。
(3)指标权重的确定
w1=(0.193,0.090,0.152,0.028,0.255,0.090,0.193)
w2=(0.024,0.312,0.024,0.223,0.024,0.168,0.223)
w3=(0.024,0.024,0.312,0.168,0.168,0.223,0.079)
(4)得到综合加权规范矩阵X
X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026
(5)求出理想解x+=(0.002,0.017,0.063,0.013,0.006,0.045,0.026) 负理想解x-=(0.072,0.080,0.084,0.039,0.146,0.101,0.107)。
(6)计算d+i、d-i和C+i及对结果排序,见表5。
从排序结果可以看出,风险大小依次为X3X2X1,因此,组织要按此顺序根据企业的经济实力加强风险控制。与参考文献“8”中的风险计算方法比较,提高了风险计算的准确性。
五、 结论
通过对信息安全风险评估特点分析,将多属性群决策用于信息安全风险评估当中,多属性群决策中最重要的就是权重的确定,本文对专家权重采用两两成对比较矩阵来获得,对属性权重采用熵权法来确定,最后采用TOPSIS方法进行结果的排序和选择。这种方法可以从一定程度上消除专家主观因素的影响,提高信息安全风险评估的准确性,为信息系统安全风险评估提供一种研究新思路。
参考文献:
1.赵亮.信息系统安全评估理论及其群决策方法研究.上海交通大学博士论文,2011.
2.中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范,2007.
3.陈晓军.多属性决策方法及其在供应商选择上的应用研究.合肥工业大学硕士论文,2008.
4.周辉仁,郑丕谔,秦万峰等.基于熵权与离差最大化的多属性群决策方法.软科学,2008,22(3).
5.管述学,庄宇.熵权TOPSIS模型在商业银行信用风险评估中的应用.情报杂志,2008,(12).
6.郭凯红,李文立.权重信息未知情况下的多属性群决策方法及其拓展.中国管理科学,2011,19(5).
7.唐作其,陈选文等.多属性群决策理论信息安全风险评估方法研究.计算机工程与应用,2011,47(15).
8. 中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范.北京:中国标准出版社,2007.
基金项目:国家自然科学基金资助项目(项目号:60970143,70872120);教育部科学技术研究基金资助重点项目(项目号:109016)。
篇10
【 关键词 】 第三方支付系统;风险评估;支付流程;威胁树;最小威胁树
【 中图分类号 】 TP393 【 文献标识码 】 A
1 引言
第三方支付行业在近几年迎来了快速发展,特别是2011年对于我国的第三方支付行业来说是具有里程碑意义的一年,央行在2011年开始颁发非金融机构支付业务许可证,支付许可证的颁发反映出国家开始从制度政策层面规范第三方支付行业的发展,同时也对第三方支付行业的安全性提出了要求。因此,如何从信息系统安全角度对诸多第三方支付工具进行全面的评价,这将对网上支付以及网络购物的发展具有十分重要的现实意义。
当前国内外第三方支付行业的发展存在巨大差异,国外专门针对第三方支付安全的研究较少,而国内也只是部分学者在进行研究时内容会涉及到第三方支付的信息安全。赵德志基于项目管理视角对第三方支付进行了风险识别,认为第三方支付系统存在几种风险,分别是外部风险、组织风险、项目管理风险、技术管理风险,并对风险来源进行了细化,但该研究并未深入对第三方支付系统的安全风险进行有效评价。
以上研究对第三方支付市场存在的风险进行了一定的分析,但上述研究仍存在着一定的不足,主要体现在相关研究并未从信息安全的角度深入剖析第三方支付平台自身支付业务流程所可能存在的脆弱性以及防范重点,也没有对第三方支付进行流程再造提出相关建议,因此对于第三方支付安全事件的发生无法起到实质性的遏制,本文将从信息安全风险评估的角度对第三方支付系统进行深入研究。
下文将基于对第三方支付平台的一般支付流程和相关案例的定性分析,运用威胁树方法学,构建针对第三方支付的威胁树分析模型,并基于德尔菲法选择当前主流第三方支付平台进行信息安全评估,从而为用户从安全视角对第三方支付平台进行选择提供参考依据。
2 威胁树模型
2.1 威胁树定义及基本结构
2.2 威胁树的修剪
一个威胁的实现需要威胁即攻击者具有一定级别的能力。攻击者取决于下列因素:攻击成本、专门技术知识或工具、被逮捕和惩罚的概率等。叶子结点的指标值由分析者直接输入,数据来源可以是调研数据,历史事件资料以及方法评估获取,非叶子结点通过指标函数获取,根据并联关系和串联关系的不同而不同。可以根据结点某一指标作为阈值对威胁树进行修剪,“剪去”所有超过或低于某一阈值的路径,修剪过的树的集合(可以认为是图形的覆盖图)代表着所有威胁可能使用的可行的威胁完全集,从攻击的角度来讲是一个可行的攻击集,也就是最小威胁树。从预防的角度讲,是采取安全策略时应重点考虑的。
3 威胁树模型
3.1 基于威胁树的第三方支付系统信息安全评价模型构建
通过第三方支付业务流程以及对收集到的大量安全事件的定性分析,第三方支付系统信息安全事件的典型特征有几点:
1)第三方支付系统面临的最大风险是账户操作过程中的可支付余额;
2)第三方支付系统安全事件的发生一般是该两项密码通过各种手段如钓鱼网站、促销信息、升级提醒等手段被盗取;
3)某些木马病毒如支付宝大盗、浮云木马病毒,在支付环节通过篡改支付协议交换过程中的付款账户和金额等方式实现更具隐蔽性盗取;
4)部分案例显示数字证书可以通过一定手段绕过从而盗取用户资金,此环节可能存在重大安全隐患。
因此,根据威胁树方法学,可得到以下第三方支付的威胁树分析模型。
a) 第三方支付系统威胁树的修剪
根据威胁树方法学,可以通过某种指标比如攻击成本、攻击能力、成功概率等对威胁树进行修剪,本文拟采取德尔菲法的形式,邀请相关业内专家针对威胁攻击系统的可能性进行打分,从而对第三方支付系统的威胁树进行修剪,具体实施将在下文讨论。
4 第三方支付系统信息安全风险评估的实施
根据易观国际的最新数据显示,本文拟选取两个典型的第三方支付工具,支付宝和快钱进行对比分析。
5 第三方支付平台的风险管理
结合上述两个具体的第三方支付工具的最小威胁树,提出若干风险管理建议。
第一,加强用户操作的主体性认证,增加实时性主体认证手段,如手机短信,动态口令等手段。特别改变账户操作仅依靠密码进行的流程,从而增强安全性;目前一些主流的第三方支付工具,仅在安装数字证书,快捷支付等情况下才使用手机验证码,因此建议在转账、更换手机、提现等操作关键操作时,额外增加实时身份验证手段。
第二,针对数字证书用户,应加强对数字证书申请、取消环节的管理,进行必要的身份认证;并且建议增加对账户登录、异地操作的实时提醒,以提高账户的安全性,而此种服务目前多数第三方支付工具尚未提供。
第三,加强对用户的教育,提醒用户识别常用的诈骗手段,如图5中所示的“防冒客服”以及“短信升级”等手段。
6 结束语
本文运用威胁树分析模型对第三方支付系统的安全性进行了全面评估,并选择当前主流的第三方支付平台进行的评估实施,并基于评估提出了针对性的安全建议和对策,从而为用户识别和选择第三方支付工具提供了一定的参考依据。本文的数据采用德尔菲法获取,该方法存在着一定的主观性,是未来研究应当着力改进的地方。
参考文献
[1] 中国互联网络研究中心.中国网络支付安全状况报告[Z].北京,2012.
[2] 金山网络公司.2011-2012中国互联网安全研究报告[Z].
[3] 中国人民银行.《支付机构互联网支付业务管理办法》征求意见稿[R],2012.
[4] 赵德志.第三方支付公司的发展与风险研究[D].北京:北京邮电大学,2007.
[5] GB/T 20984-2007 信息安全技术信息安全风险评估规范[S].2007.
[6] 王孝良,崔保红,李思其.关于工控系统信息安全的思考与建议[J].信息网络安全,2012,(08): 36-37..
[7] 许春,李涛,陈兴蜀,刘念,杨进.危险信号在实时网络安全风险评估中的应用[J].电子科技大学学报,2007, (S3):74-77.
[8] 李良.中国电子银行风险评估研究[D].大连:大连理工大学,2010.
[9] 曹子建,赵宇峰,容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全,2012,(09):12-14.
[10] Schneier B."Attack Trees",Secrets and Lies[M].New York:John Wiley and Sons,2000:318-333.
基金项目:
河南省教育厅人文社会科学青年项目(2012-QN-063)。
